Албаков Ислам Даудович
ПОСТРОЕНИЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ *
Аннотация:
В статье проанализированы и определены основные угрозы информационно-коммуникативной системе предприятия и их влияние на деятельность предприятия. Приведены определения понятия информационной безопасности. Рассмотрены принципы информационной безопасности, а также основные этапы построения политики информационной безопасности. Представлены подсистемы эффективной защиты информации
Ключевые слова:
информационная система, безопасность, контроль доступа, конфиденциальность, информация
Оптимальной практикой обеспечения информационной безопасности, является использование системного метода, когда безопасность воспринимается как комплексное явление и может быть обеспечено путем контроля за всеми элементами системы. Проведенные исследования позволили определить, что для эффективного выполнения такой задачи необходима система соответствующего методического обеспечения. Основными элементами такой системы являются принципы построения системы информационной безопасности, целевые характеристики системы, ее задачи, основные угрозы и меры по нейтрализации угроз. Одним из базовых, основных элементов системы информационной безопасности промышленных предприятий выступают принципы, которые должны быть положены в основу ее построения. Для предприятий основными принципами информационной безопасности являются: простота, полный контроль, общий запрет, открытая архитектура, разграничение доступа, минимальные привилегия, достаточная устойчивость, минимизация дублирования. [1] Рассмотрим принципы информационной безопасности подробно: 1. Простота. Этот принцип информационной безопасности отмечает, что простота использования информационной системы способна обеспечить минимизацию ошибок. Процесс эксплуатации информационной системы обязательно сопровождается непреднамеренными ошибками со стороны пользователей и администраторов системы, результатом которых может стать снижение уровня информационной безопасности. Понятно, что осложнения осуществляемых пользователями и администраторами операций и процедур приводит к росту количества таких ошибок. Для снижения количества ошибок простота использования системы является необходимым условием. Однако, простота использования не значит простоту архитектуры и снижение требований к функциональности системы информационной безопасности. 2. Полный контроль. Выполнение этого принципа предусматривает организацию непрерывного контроля за состоянием информационной безопасности и мониторинг всех событий, влияющих на информационную безопасность. Предусматривают такую архитектуру системы, которая позволяла бы осуществлять контроль доступа к любому объекту информационной системы, блокировать нежелательные действия и быстро восстанавливать нормальные параметры информационной системы. 3. Общий запрет. Запрещено все, на что нет разрешения. Доступ к объектам информационной системы возможен только при наличии соответствующего разрешения, предоставляемого в соответствии с действующими нормативными документами по организации работы информационной системы. Однако важно понимать, что система информационной безопасности направлена на предоставление разрешения, а не запреты любых действий. Указанный принцип предполагает, что в информационной системе возможно выполнение только известных безопасных действий. Система не настраивается на поиск и распознавание какой-либо угрозы, поскольку такой путь построения системы информационной безопасности очень ресурсоемким, и делает невозможным обеспечение достаточного уровня информационной безопасности.4. Открытая архитектура информационной системы. Этот принцип информационной безопасности заключается в том, что безопасность должна обеспечиваться за неясности. Попытки защитить информационную систему от компьютерных угроз путем усложнения, запутывания и сокрытия слабых мест ИС, оказываются в конечном итоге несостоятельными и только откладывают успешную хакерскую, вирусную или инсайдерскую атаку. 5. Разграничение доступа. Данный принцип информационной безопасности заключается в том, что каждому пользователю предоставляется доступ к информации и ее носителей в соответствии с его полномочиями. При этом исключена возможность превышения полномочий. Каждой роли / должности / группе можно назначить свои права на выполнение действий (чтение / редактирование / удаление) над определенными объектами ИС. 6. Минимальные привилегии. Принцип минимальных привилегий заключается в выделении пользователю малейших прав и доступа к минимуму необходимых функциональных возможностей программ. Такие ограничения, тем не менее, не должны мешать выполнению работы. 7. Достаточная устойчивость. Этот принцип информационной безопасности выражается в том, что потенциальные злоумышленники должны встречать препятствия в виде довольно сложных вычислительных задач. Например, необходимо, чтобы взлом паролей доступа требовал от хакеров неадекватно больших промежутков времени и / или вычислительных мощностей. 8. Минимизация дублирования. Предусматривает минимизацию идентичных процедур. Этот принцип информационной безопасности заключается в том, что в системе информационной безопасности не должно быть общих для нескольких пользователей процедур, таких как введение пароля. В этом случае масштаб возможной хакерской атаки будет меньше. Построение по приведенным принципам системы информационной безопасности должно быть настроено на достижение определенных целей, специфика которых будет во многом определять как структуру системы, так и основные параметры ее функционирования. Основными целями достижения высокого уровня информационной безопасности является обеспечение конфиденциальности, целостности, доступности, достоверности и неотказуемости информации. Главными этапами построения политики информационной безопасности являются: [2] 1. Регистрация всех ресурсов, которые должны быть защищены; 2. Анализ и создание перечня возможных угроз для каждого ресурса; 3. Оценка вероятности появления каждой угрозы; 4. Принятие мер, которые позволяют экономически эффективно защитить информационную систему. Большинство специалистов в области защиты информации считают, что информационная безопасность поддерживается на должном уровне, если для всех информационных ресурсов системы поддерживается соответствующий уровень конфиденциальности (невозможности несанкционированного получения любой информации), целостности (невозможности преднамеренной или случайной ее модификации) и доступности (возможности оперативно получить запрашиваемую информацию). Можно выделить следующие подсистемы эффективной защиты информации на предприятии: [4] 1. Антивирусная защита шлюзов входа в Интернет, серверов с данными, персональных рабочих компьютеров, централизованного управления. 2. Управления контролем доступа и идентификацией в информационной системе. 3. Межсетевое экранирование, которое обеспечивает безопасность межсетевого взаимодействия через программные и программно-аппаратные межсетевые экраны. 4. Криптографическая защита, гарантирующая конфиденциальность передачи данных с помощью алгоритмов шифрования. 5. Обеспечение целостности программной среды и информации путем использования соответствующих средств для контроля и фиксации состояния программного комплекса, управления хранением данных для резервного копирования и архивирования. 6. Защита от инсайдеров, контролирующая действия нарушителей, которая реализует информационную безопасность при управлении доступом и регистрации
Номер журнала Вестник науки №2 (2)
Ссылка для цитирования:
Албаков Ислам Даудович ПОСТРОЕНИЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ // Вестник науки №2 (2). С. 6 - 8. 2018 г. ISSN 2712-8849 // Электронный ресурс: https://www.вестник-науки.рф/article/8 (дата обращения: 18.04.2024 г.)
Вестник науки СМИ ЭЛ № ФС 77 - 84401 © 2018. 16+